2021年6月21日、GIJIの会議レポート機能に関する一部の情報が、
ある特定の条件下で別組織のデータを閲覧できてしまう、という事象が確認されました。

ユーザーの皆様にはご心配・ご迷惑をお掛け致しましたこと、深くお詫び申し上げますと共に、
事象内容、影響範囲、再発防止策について報告させて頂きます。

また本事象につきましては、6月21日 18:58に改修版をリリースし、現時点では解消されていることを、
併せてご報告申し上げます。

記

１．事象

アカウント登録直後など、いずれのフォルダにもアクセス権がない状態のユーザーが会議レポート画面を開くと、自分が所属していない別組織の会議レポート情報が閲覧できるようになっていた。

閲覧できた会議レポート情報
・フォルダ名
・参加者名称
・参加者ごとの会議時間の合計
・参加者ごとの会議回数の合計

※上記以外の、議事録本文や添付ファイル、組織名や利用者のメールアドレスなどについては
　閲覧できる状態にはなっておりません。

２．影響の範囲

発生期間: 2021年4月1日〜2021年6月21日
2021年4月 1日 00:00　会議レポート機能リリース
2021年6月21日 18:30　不具合発覚
2021年6月21日 18:58　閲覧できないように即座に対応
2021年6月22日 12:52　テスト検証済みリリース

別の組織のレポート情報を閲覧した可能性があるユーザー：
トライアル期間中の組織またはスタンダードプランやコミュニティプランの組織のメンバーで、
且つ、いずれのフォルダにもアクセス権がない（フォルダ一覧にフォルダが１つも表示されない）ユーザー

前述のユーザーにレポート情報を閲覧された可能性がある組織：
GIJIをご利用中の全ての組織

３．再発防止策
上記の発生事象の対応および再発防止策として、以下の対策を実施いたしました。

・機能品質向上・妥当性検証（テストシナリオの再検証、運用テストの強化）
・セキュリティ管理体制の強化
また、2021年8月31日を期限として、第三者機関による脆弱性診断も実施いたします。

最後になりますが、皆様には大変ご迷惑をおかけしましたことを心よりお詫び申し上げます。
今後はこのようなことのないよう、細心の注意を払い、機能改善・運用に努める所存です。

なお、本件に関し、ご質問等がある場合は下記お問い合わせ先にご連絡くださいますようお願い申し上げます。

本件に関するお問合せ先

株式会社アジャイルウェア　GIJI事務局
support@giji.io